[Linux-bruxelles] Signaler un abus

Christophe Aubry christophe.aubry at belgacom.net
Lun 3 Avr 13:20:11 CEST 2006 

Etienne Besançon a écrit :
> Bonjour,
>
> Je réagit un peu tard (désolé), mais j'ai du mal à comprendre comment 
> l'attaque brute force a pu marcher... N'y a-t-il pas un délai de 
> quelques secondes entre chaque essai de connection ? S'il faut faire 
> passer tout le dictionnaire, ça ne devrait pas coller.
> Sinon pour le login même question, comment a fait la personne pour le 
> récupérer ? parce qu'en général après coup, pour des 
> non-informatitiens, le passwd est souvent le même que le login !
>
> ++Etienne
>
> Eric Hanuise a écrit :
>> Christophe Aubry wrote:
>>> Bonsoir,
>>>
>>> Il y a deux jours une personne s’est introduite sur mon serveur 
>>> linux en utilisant une attaque brute force, via un dictionnaire, sur 
>>> le service ssh. La partie net-id de l’IP correspond au réseau 
>>> tpnet.pl (provider polonais) j’ais également 4 kilomètres de logs 
>>> remplis de tentatives de login avec des adresses provenant de se 
>>> réseau.
>>>
>>> Je me demandais si il était utile que je demande à mon provider de 
>>> faire quelque chose contre cette personne, et j’aurais aussi aimé 
>>> savoir comment détecter de manière fiable un rootkit.
>>>
>>
>> 1) via un ping-a ou une requete dig d.c.b.a.in-addr.arpa (pour une 
>> addresse a.b.c.d) tu identifies la source
>> 2) tu remonte sur le whois de  internic pouravoir le contact 
>> technique du provider
>> 3) tu envoie une explication courte en anglais avec un log au 
>> responsable technique du provider, avec une copie a 
>> abuse@(provider.com)qui est une addresse standard.
>> 4) éventuellement tu notifie les handlers ISC (isc.sans.org) qui te 
>> diront si c'est isolé ou si cette attaque fait partie d'un mouvement 
>> massif
>>
>>
>> pour le rootkit, apt-get install chkrootkit et puis tu le lance :)
>>
>
Pour le délai je suppose que la personne devait être patiente, je n'ai 
pas vérifié mais l'attaque à peut être durée plusieurs jours.
Sinon pour le login récupérer par cette personne c'était un login de 
test pour un serveur de domaine Samba, le login et le password étaient 
égaux pour des raisons pratiques, mais je n'ai pas pensé au service ssh 
qui tournait derrière.

De toute façon c'était un serveur de test qui à été formaté depuis. Ca 
m'apprendras à mettre des pass de non-informaticien !

-- 
Aubry Christophe
christophe.aubry at belgacom.net

Plus d'informations sur la liste de diffusion Linux-bruxelles